Distributed Denial of Service -DDOS

HASCii -

Die Erreichbarkeit der Webseite ist nicht mehr gegeben, E-Mails verlassen den Postausgang nicht oder ein firmeninternes Programm läuft unbrauchbar langsam bis gar nichts mehr geht. In manchen Fällen sind diese Probleme auf Systemfehler zurückzuführen, in anderen Fällen jedoch auch auf Angriffe von außen. Die Motivation der Angreifer ist dabei unterschiedlich, wie wir gleich ergründen werden. Doch jeder kann ein Ziel für diese Art von Angriffen werden. Der Gedanke, dass ein Unternehmen zu klein oder unbedeutend sein könnte, stellt für Erpresser beispielsweise keinen relevanten Faktor dar.

Was ist Denial of Service und Distributed Denial of Service?

Bei der Verarbeitung von Daten in einem System, die über die verfügbaren Ressourcen hinausgeht, kommt es zu einer Einschränkung des Systems, bis hin zum Ausfall eines Teils oder des Gesamten. Ausschlaggebend hierfür ist die Art des Ausfalls. Dabei ist von Bedeutung, ob die Daten gespeichert sind, ob lediglich Schnittstellen betroffen sind und ob das Kernsystem weiterhin arbeitet. Im Falle eines Ausfalls des Gesamtsystems durch einen DoS ist der Zustand der verarbeiteten Daten von entscheidender Bedeutung, um Inkonsistenzen oder Verluste festzustellen. Sofern die Daten während eines DoS noch verarbeitet oder gespeichert werden können, wird dies als „Graceful Degradation“ bezeichnet. Dienste, die auf diese Weise entworfen wurden, sollten daher bevorzugt eingesetzt werden.

Ein Distributed Denial of Service (DDoS) bezeichnet einen Cyberangriff, bei dem eine Vielzahl an Systemen, häufig Tausende von kompromittierten Computern oder anderen vernetzten Geräten, koordiniert genutzt werden, um einen Zielserver, eine Website oder ein Netzwerk mit einer Flut von Anfragen zu überlasten. Dies führt dazu, dass die Zielressourcen überlastet und für legitime Benutzer unzugänglich werden.

Wer nutzt Distributed Denial of Service Angriffe und mit welcher Motivation?

Es gibt zahlreiche Akteure und Motive für DDoS-Angriffe. Im Folgenden werden die häufigsten dargestellt:

Cyberkriminelle nutzen die Einschränkung von Diensten beispielsweise, um einen Hebel gegen erpressbare Opfer zu haben. Die Motivation ist finanzieller Gewinn. Es kommt auch vor, dass sie im Auftrag von Konkurrenten oder unzufriedenen Mitarbeitern, Kunden oder anderen Personen mit persönlichem Groll handeln.

Hacktivisten nutzen DDoS, um ihre politischen und gesellschaftlichen Anliegen zu verdeutlichen oder durchzusetzen. Ziel ist es in den meisten Fällen, durch diese Form der Behinderung auf Missstände aufmerksam zu machen. Anstatt die Dienste von Regierungen oder Organisationen tatsächlich einzuschränken.

Unternehmen nutzen DDoS, um Konkurrenten auszustechen und sich einen Wettbewerbsvorteil zu verschaffen. Die Behinderung von Mitbewerbern kann zu einem Reputationsverlust, erzwungenen höheren Investitionen in die Cyber-Abwehr oder Opportunitätskosten durch entgangene Geschäfte führen. Gezieltes Timing im Weihnachtsgeschäft oder am Black Friday kann für Einzelhändler verheerende existenzielle Folgen haben.

Staatlich beauftragte Akteure, ähnlich wie Cyber-Kriminelle, deren Motivation politische Destabilisierung, Spionage oder Cyber-Krieg ist. Sie zielen auf Informationsgewinnung, die Verwundbarkeit kritischer Infrastrukturen oder das Erreichen übergeordneter politischer Ziele ab.

Insider stellen eine besondere Bedrohung für die Cybersicherheit dar. Unzufriedenheit und Rachegelüste sind starke Motivatoren für einen DDoS und das Wissen um die infrastrukturellen Gegebenheiten, machen Angriffe durch Innentäter gefährlich Präzise. Die Schädigung der Organisation oder des Unternehmens ist hier das angestrebte Ziel.

Scriptkiddies, meist Einzeltäter mit rudimentären „Hacker“-Kenntnissen und -Fähigkeiten, die sich durch die Verwendung vorgefertigter Tools und Codes auszeichnen, um sich in der „Hacker“-Community zu profilieren. Prestige, Langeweile oder Neugier sind die häufigsten Motive.

Wie wird ein DDoS genutzt:

Eine typische DDoS-Infrastruktur besteht aus einem Angreifer, der über einen Command-and-Control-Server ein Botnetz steuert. Der Angreifer sendet Befehle an das Botnetz, um gleichzeitig eine große Menge an schädlichem Datenverkehr zum Ziel zu schicken.

Ein Botnetz bezeichnet ein Netzwerk aus einer Vielzahl an kompromittierten Computern oder internetfähigen Geräten, welche von einem Angreifer heimlich kontrolliert werden. Die infizierten Geräte, auch Bots oder Zombies genannt, werden durch Malware infiziert und können ferngesteuert werden, ohne dass ihre rechtmäßigen Besitzer dies bemerken. Botnetze werden auch für Spamversand, Datendiebstahl und das Ausführen von Klickbetrug genutzt. Botnetze stellen eine erhebliche Bedrohung für die Cybersicherheit dar, da sie aufgrund ihrer Skalierbarkeit und ihrer schwer zu entdeckenden Natur ein erhebliches Gefahrenpotenzial bergen.

Diese Website läuft auf Kaffee

Spendiere einen Kaffee

Varianten von DDoS:

  • Smurf-Angriff:
    Ein Smurf-Angriff stellt eine Form eines Distributed Denial of Service (DDoS)-Angriffs dar, bei dem der Angreifer gefälschte Internet Control Message Protocol (ICMP)-Echo-Anfragen (Ping-Anfragen) an die Broadcast-Adresse eines Netzwerks sendet. Dadurch werden alle Geräte im Netzwerk dazu veranlasst, ihre Antworten an die gefälschte Absenderadresse des Opfers zu senden. Dies resultiert in einer signifikanten Zunahme von ICMP-Echo-Reply-Paketen, welche die verfügbare Bandbreite und Ressourcen des Opfers überlasten und dessen Netzwerk oder Dienst lahmlegen.
  • Fraggle-Angriff:
    Ein Fraggle-Angriff ist ein DDoS-Angriff, der ähnlich wie ein Smurf-Angriff funktioniert, jedoch mit UDP-Paketen statt ICMP-Paketen. Dabei sendet der Angreifer gefälschte UDP-Pakete an die Broadcast-Adresse eines Netzwerks, typischerweise an Port 7 (Echo) oder Port 19 (Chargen), mit der Absenderadresse des Opfers. Die Geräte im Netzwerk reagieren auf die Broadcast-Anfrage und überfluten dadurch das Netzwerk des Opfers, was zu einer Überlastung und einem potenziellen Ausfall führt. Um dies zu verhindern, werden Schutzmaßnahmen wie das Blockieren von UDP-Broadcasts und das Schließen der entsprechenden Ports ergriffen.
  • Ping of Death
    Der „Ping of Death” bezeichnet einen Denial-of-Service (DoS)-Angriff, bei dem ein Angreifer übergroße ICMP-Echo-Anfragen (Ping-Pakete) an ein Zielsystem sendet. Diese Pakete sind größer als das im IP-Standard erlaubte Maximum von 65.535 Bytes und werden fragmentiert über das Netzwerk gesendet. Das Zusammenfügen der Fragmente auf dem Zielsystem kann zu einem Pufferüberlauf führen, welcher das System zum Absturz bringt oder dessen Funktionalität beeinträchtigt.
  • SYN Flood
    Eine große Anzahl von TCP-SYN-Anfragen werden an einen Server gesendet, ohne die Handshake-Verbindung abzuschließen. Der Server reserviert Ressourcen für jede vermeintliche Verbindung, was seine Kapazität überlastet und legitimen Anfragen den Zugang verweigert.
  • Slowloris
    Ein Angreifer sendet eine Vielzahl von HTTP-Anfragen an einen Webserver, wobei er diese jedoch absichtlich unvollständig lässt, indem er Header-Informationen langsam und sporadisch überträgt. Dadurch werden die Verbindungen des Servers offen gehalten, was dessen Fähigkeit, neue, legitime Anfragen zu bearbeiten, blockiert.

Strategien gegen Distributed Denial of Service Angriffe

Es existieren diverse allgemeine Strategien zur Abwehr von DDoS-Angriffen. Zu diesen zählen

  1. Präventive Maßnahmen: Einsatz von DDoS-Schutzdiensten, Content Delivery Networks (CDNs), Rate Limiting und Traffic Shaping, welche dazu dienen, den Datenverkehr zu verwalten und schädliche Anfragen zu blockieren.
  2. Detektionsmechanismen: Systeme zur Anomalieerkennung, Intrusion Detection Systems (IDS) und kontinuierliche Netzwerküberwachung helfen dabei, frühzeitig Anzeichen eines Angriffs zu erkennen.
  3. Reaktionspläne: Notfallpläne werden entwickelt und getestet, Kommunikationsstrategien etabliert und Traffic Scrubbing eingesetzt, um während eines Angriffs schnell und effektiv zu reagieren.
  4. Infrastrukturmaßnahmen: Die Implementierung von Lastverteilungsmechanismen (Load Balancing), redundanten Systemen und Netzwerken sowie eine ausreichende Kapazitätsplanung reduzieren die Angriffsbelastung.
  5. Netzwerksicherheitsmaßnahmen: Die Konfiguration von Firewalls, IP-Blacklisting/Whitelisting und die Implementierung von DNS-Sicherheitsmechanismen (z. B. DNSSEC) erhöhen den Schutz der Netzwerksicherheit.
  6. Zusammenarbeit und Informationsaustausch: Eine enge Zusammenarbeit mit dem Internet Service Provider (ISP) sowie die Nutzung von Plattformen zum Austausch von Bedrohungsinformationen sind vorteilhaft.
  7. Systemhärtung: Alle Systeme und Anwendungen werden auf dem neuesten Stand gehalten (Patch-Management) und sicher konfiguriert, um bekannte Sicherheitslücken zu schließen und unnötige Dienste zu deaktivieren.
Viele Informationen und vielen Dank für die Aufmerksamkeit.
- itger.de\HASCii